Las empresas españolas están "poco preparadas y demasiado confiadas" frente a los ciberataques, con un 74% de organizaciones que aseguran ser capaces de mantenerse "resilientes" frente ataques maliciosos, a pesar de que solo el 2% de las compañías tienen una postura "verdaderamente madura" en este aspecto como para protegerse "completamente", según el índice de Cisco.
Así lo han reflejado los resultados de la segunda edición del estudio desarrollado por la compañía de telecomunicaciones Cisco 'Cyber Security Readiness Index', que mide la preparación de las empresas españolas y también de otros 29 países a nivel global, en materia de ciberseguridad.
En concreto, tal y como ha detallado Cisco, el 41% de las organizaciones encuestadas han experimentado un incidente de seguridad en el último año. De entre ellas, el 28% ha señalado que el impacto financiero del ataque ha sido cercano o superior a los 280.000 euros. Asimismo, también ha resaltado que el 4% de las organizaciones aseguran no conocer si han sufrido un ciberincidente.
En este marco, tal y como ha manifestado el director de Ciberseguridad de Cisco España, Ángel Ortiz, la principal conclusión a la que ha llegado el estudio es que las empresas españolas están "poco preparadas" para hacer frente a los retos en materia de ciberseguridad. Esto se debe, en parte, a un entorno "hiperconectado, complejo y complicado", que favorece los ataques maliciosos.
Se trata de un entorno hiperconectado porque, actualmente, las empresas cada vez trabajan con más dispositivos conectados, tanto a las redes como entre sí. Además, también entra en juego la complejidad del trabajo híbrido, que favorece las conexiones con recursos que no están dentro del perímetro de seguridad de la organización, como las redes WiFi no seguras o las nubes públicas.
De hecho, según el estudio, el 15% de los empleados cambian al menos seis veces de redes por semana. Es decir, es como si un trabajador se conectara a una red diferente cada día laborable.
Igualmente, el 83% de las empresas reconocen que los empleados acceden a las redes de la organización desde dispositivos no administrados ni gestionados por la compañía, incluso, para gestionar datos confidenciales. Según ha matizado Ortega, esto está creando "nuevas fuentes de vulnerabilidad".
Principales tipos de ataques
Aunque entre los principales tipos de ataques que sufren actualmente las empresas españolas continúan manteniéndose líderes las campañas de 'malware' y 'phishing', Cisco ha señalado que "se han ido sofisticando cada vez más".
En los últimos 12 meses, el ciberataque más repetido ha sido hacia las empresas ha sido el robo de credenciales, con un 19% de los casos. De cerca le siguen los ataques con algún método de ingeniería social (17%) como, por ejemplo, los correos falsificados.
Igualmente, también se han registrado ataques a la cadena de suministro (14%), y campañas de 'cryptojacking' o minería de criptomonedas maliciosa, que han sido registradas en un 13% de los casos.
Además, según han podido comprobar, los ciberataques continúan evolucionando y haciéndose cada vez más complicados, en parte, debido al uso de la Inteligencia Artificial (IA). Así, el 12% de las ciberamenazas relacionadas con la IA "se encuentran entre los tres principales riesgos del próximo año".
Entorno complicado para encontrar soluciones
Ortiz también ha manifestado que, teniendo en cuenta todo lo anterior, el entorno se vuelve complicado para encontrar una solución concreta que ayude a resolver todos los problemas que ocasionan los ciberataques.
Esto se debe a que existen multitud de fabricantes y soluciones de ciberseguridad desarrolladas para necesidades puntuales, lo que hace complicado gestionar de forma general todo el entorno de la empresa.
Así, el 9% de las organizaciones dicen utilizar 30 o más soluciones puntuales, es decir dedicadas a un tipo de problema de ciberseguridad concreto. Además, más de la mitad de las empresas recurren a otras 10 o más soluciones generales.
Como resultado, el 86% de las empresas admiten que tener que hacer frente a tantas soluciones de seguridad "penaliza su capacidad de detección, respuesta e, incluso, de recuperación frente a los incidentes".
Estos datos ponen de manifiesto la escasez de recursos y de talento para manejar las soluciones. Tanto es así que más de dos tercios tienen más de cinco puestos vacantes en materia de ciberseguridad en su organización.
"Esta necesidad de tener que proteger todo, pero muchas veces con un conocimiento deficiente, conociendo poco o nada, es el caldo de cultivo perfecto para los ciberatacantes", ha sentenciado Ortiz.
Empresas españolas, demasiado confiadas
A pesar de todo ello, las empresas españolas "están demasiado confiadas" en su capacidad para enfrentarse a este entorno por sí mismas, ha reflexionado Ortiz.
Según Cisco, el 74% de las compañías españolas "se sienten muy seguras de su capacidad para mantenerse resilientes" frente a ataques maliciosos. Sin embargo, según el índice de ciberseguridad que ha elaborado la empresa, solo el 2% tienen una postura verdaderamente madura en este aspecto. Una cifra que ha disminuido respecto al año anterior, que contaba con un 7%.
El índice de seguridad de Cisco está basado en los pilares de la ciberseguridad de las compañías, como son la identidad, los dispositivos, la red, la nube y la IA. En concreto, según este índice solo el 20% de las organizaciones españolas están enmarcadas en los dos grados de madurez más altos.
Así, la tónica de las empresas españolas se mantiene en comparación con el índice global, que cuenta con un 71% de las empresas en los grados de madurez más bajos del índice, un 9% menos que en España.
La inversión en ciberseguridad aumenta
No obstante, el estudio también ha reflejado que las compañías españolas parecen estar aumentando su inversión en ciberseguridad. El 97% de las compañías esperan aumentar su presupuesto de seguridad este año.
En este sentido, el 64% pretende utilizar la inversión para actualizar soluciones existentes. Igualmente, el 57% de las organizaciones han adelantado que implementarán nuevas soluciones y el 56% que invertirán en tecnologías impulsadas por IA.
Recomendaciones para la ciberseguridad de las empresas
Con todo ello, Cisco también ha compartido algunas recomendaciones de cara a las empresas para mitigar la falta de preparación y poder enfrentar los posibles ataques maliciosos.
En primer lugar, ha señalado la importancia de continuar invirtiendo en ciberseguridad "incluyendo la adopción de un enfoque de plataforma". Es decir, no invirtiendo en soluciones puntuales, sino que sea una solución que encaje de forma general para la empresa y que no añada más complicación a la gestión de la seguridad.
Por otra parte, se deben cerrar las brechas de vulnerabilidad creadas por dispositivos no gestionados y redes WiFi no seguras. Para ello, las empresas han de poder identificar cuándo se están utilizando dispositivos no gestionados y conexiones desconocidas y, en base a ello, aplicar distintas políticas de seguridad o, incluso, "restringir su uso".
Siguiendo esta línea, Cisco aboga por aprovechar las tecnologías de IA para mejorar la seguridad y la resiliencia operativa de las empresas, así como incrementar la contratación de profesionales de ciberseguridad, ya sea a nivel interno o externo.
Finalmente, la compañía ha señalado que es crucial ser conscientes de los ciberataques y actuar cuando sea necesario. "No podemos solucionar aquel problema que no sabemos que tenemos", ha matizado Ortiz.